Thought Leadership
Ein neuer Malware-Loader namens OXLOADER verbreitet den Passwort-Dieb CastleStealer über gefälschte Google Ads. Die Erkennungsrate ist bislang sehr gering.
Sicherheitsanalysten von Elastic Security Labs haben eine neue Cyberspionage-Kampagne dokumentiert, die unter der internen Bezeichnung REF8372 geführt wird. Die Angreifer nutzen manipulierte Werbeanzeigen im Google-Netzwerk (Malvertising), um ein neues Schadprogramm mit dem Namen OXLOADER zu verbreiten. Das primäre Ziel der Infektionskette ist die Einschleusung des Passwort-Diebs CastleStealer auf den Systemen der Opfer.
Die Angreifer schalten Werbeanzeigen, die bei Suchanfragen nach regulären Software-Downloads wie der LTS-Version der Entwicklungsumgebung Node.js erscheinen. Nutzer werden beim Klicken auf diese Anzeigen auf eine gefälschte Internetseite umgeleitet. Die Anzeigen liefen unter dem verifizierten, mutmaßlich missbrauchten oder gekauften Namen eines ukrainischen Werbekontos, das Google Mitte Mai 2026 zusammen mit den Kampagnen gelöscht hat.
Technische Verschleierung und Missbrauch von Cloud-Speicher
Auf der gefälschten Webseite wird den Besuchern ein bösartiges Skript über den dezentralen Cloud-Speicherdienst Storj ausgeliefert. Die Ausnutzung legitimer Clouddienste dient dazu, reputationsbasierte Filter von Sicherheitssoftware zu umgehen. Das ausgeführte Skript blendet eine gefälschte Installationsmaske ein, während im Hintergrund über einen PowerShell-Befehl die eigentliche ausführbare Datei von OXLOADER nachgeladen wird. Das Programm erzwingt dabei über administrative Rechte eine Bestätigung der Windows-Benutzerkontensteuerung (UAC). Im weiteren Verlauf wird über das sogenannte DLL-Side-Loading eine manipulierte Bibliothek geladen, die schließlich den .NET-basierten Infostealer CastleStealer entschlüsselt und im Systemspeicher ausführt.
Um der Entdeckung durch statische Virenscanner und Sandbox-Analyseumgebungen zu entgehen, setzt OXLOADER hochentwickelte Verschleierungstechniken ein. Dazu gehören die Abflachung des Kontrollflusses, komplexe mathematisch-logische Operationen sowie Mechanismen, die eine Ausführung in virtuellen Testumgebungen blockieren. Die Forscher Daniel Stepanic und Jia Yu Chan erklärten zu den technischen Besonderheiten:
„Der Loader verwendet mehrere Verschleierungsebenen (Abflachung des Kontrollflusses, opake Prädikate, gemischte Boolesche Arithmetik), selbstmodifizierende Entschlüsselungs-Stubs und missbraucht den Windows-.reloc-Bereich, um Shellcode bereitzustellen.“
Daniel Stepanic und Jia Yu Chan, Sicherheitsforscher
Indizien für finanzielle Absichten bei Google-Ads-Kampagne
Die Analyse von CastleStealer zeigt, dass das Programm gezielt darauf ausgelegt ist, sensible Systemdaten, Passwörter und Krypto-Informationen aus den infizierten Systemen zu extrahieren. Die Programmierstruktur von OXLOADER enthält spezifische Ausschlusskriterien. Das Programm bricht die Infektion ab, sobald das Betriebssystem auf eine Sprache oder Region eingestellt ist, die der Gemeinschaft Unabhängiger Staaten (GUS) angehört.
Diese gezielten Sprach- und Regionsprüfungen deuten nach Einschätzung der Analysten darauf hin, dass die Akteure im russischsprachigen Raum zu verorten sind und vorwiegend finanzielle Interessen verfolgen. Aufgrund der technischen Konstruktion erzielt das Programm gegenwärtig sehr geringe Erkennungsraten bei automatisierten Sicherheitsfiltern.
(red)
